Cybertreat.id - Lebih dari selusin aplikasi pinjaman online berbahaya, yang secara umum bernama SpyLoan, telah diunduh lebih dari 12 juta kali tahun ini dari Google Play. Indonesia menjadi salah satu targetnya.

Ancaman SpyLoan Android mencuri data pribadi perangkat yang mencakup daftar semua akun, info perangkat, log panggilan, aplikasi yang diinstal, acara kalender, detail jaringan Wi-Fi lokal, dan metadata dari gambar.

Dilansir dari Bleeping Computer, Rabu, (6 Desember 2023), para peneliti dari ESET mengatakan bahwa risikonya juga meluas ke daftar kontak, data lokasi, dan pesan teks.

Aplikasi tersebut menyamar  sebagai layanan keuangan pinjaman online yang menjanjikan "akses dana yang cepat dan mudah". Namun, mereka mengelabui pengguna agar menerima pembayaran berbunga tinggi dan kemudian pelaku ancaman memeras korbannya agar membayarnya.

Sejak awal 2023, perusahaan keamanan siber ESET, anggota App Defense Alliance yang konsen mendeteksi dan memberantas malware dari Google Play, telah menemukan 18 aplikasi SpyLoan.

Google bereaksi terhadap pelaporan ESET dan menghapus 17 aplikasi berbahaya, sementara salah satunya kini tersedia dengan serangkaian izin dan fungsi berbeda dan tidak lagi terdeteksi sebagai ancaman SpyLoan.

Bangkitnya SpyLoan

Aplikasi SpyLoan pertama kali terlihat pada tahun 2020 tetapi mulai tahun lalu aplikasi tersebut menjadi lebih umum di sistem Android dan iOS, menurut peneliti keamanan dari ESET, Lookout, Zimperium, dan Kaspersky.

ESET mengatakan saluran distribusi saat ini mencakup situs web palsu, perangkat lunak di toko aplikasi pihak ketiga, dan Google Play.

Berdasarkan data ESET, deteksi SpyLoan mengalami peningkatan sepanjang tahun 2023, ancaman lebih menonjol di Meksiko, India, Thailand, Indonesia, Nigeria, Filipina, Mesir, Vietnam, Singapura, Kenya, Kolombia, dan Peru.

Untuk menyusup ke Google Play, aplikasi ini dikirimkan dengan kebijakan privasi yang sesuai, mengikuti standar kenali pelanggan Anda (KYC), dan memiliki permintaan izin yang transparan.

Dalam banyak kasus, aplikasi palsu tersebut tertaut ke situs web yang secara terang-terangan meniru situs perusahaan yang sah, bahkan menampilkan foto karyawan dan kantor untuk menciptakan kesan asli, tapi sebenarnya palsu.

Aplikasi SpyLoan melanggar kebijakan Layanan Keuangan Google dengan secara sepihak memperpendek jangka waktu pinjaman pribadi menjadi beberapa hari atau periode sewenang-wenang lainnya dan mengancam pengguna dengan ejekan dan mengekspose data pribadi jika tidak mematuhinya.

Selain itu, apa yang disebutkan dalam kebijakan privasi bersifat menipu, sehingga memberikan alasan yang tampaknya sah untuk mendapatkan izin yang berisiko.

Misalnya, izin kamera seharusnya diperlukan untuk memungkinkan pengunggahan data foto untuk KYC dan akses ke kalender pengguna untuk menjadwalkan tanggal pembayaran dan pengingat, namun hal tersebut merupakan praktik yang sangat mengganggu.

Selain itu, aplikasi SpyLoan meminta izin yang sebenarnya tidak diperlukan sama sekali, seperti akses ke log panggilan dan daftar kontak, yang mereka gunakan untuk memeras pengguna ketika mereka menolak permintaan pembayaran yang tidak masuk akal.

“Meskipun aplikasi SpyLoan ini secara teknis mematuhi persyaratan untuk memiliki kebijakan privasi, praktiknya jelas melampaui cakupan pengumpulan data yang diperlukan untuk menyediakan layanan keuangan dan mematuhi standar perbankan KYC,” kata ESET.

“Kami yakin tujuan sebenarnya dari izin ini adalah untuk memata-matai pengguna. Aplikasi ini dan melecehkan serta memeras mereka dan kontak mereka,” tambah para peneliti.

Untuk bertahan dari ancaman SpyLoan, percayalah hanya pada lembaga keuangan yang sudah mapan, tinjau dengan cermat izin yang diminta saat memasang aplikasi baru, dan baca ulasan pengguna di Google Play, yang sering kali berisi petunjuk tentang sifat penipuan dari aplikasi tersebut.[]